Cookie-hozzájárulás: mit ír elő valójában a törvény
A cookie-hozzájárulás a digitális adatvédelem egyik legfélreértettebb követelménye. Sok vállalkozás azt hiszi, hogy megfelel az előírásoknak, mert megjelenít egy cookie-sávot. Ám egy sáv önmagában nem hozzájárulás. A hozzájárulás egy konkrét jogi fogalom, pontos követelményekkel — és ha ezeknek nem tesz eleget, az egész adatgyűjtése jogellenessé válhat.
A jogi alapok
A cookie-hozzájárulás két jogi pilléren nyugszik:
Az ePrivacy irányelv 5. cikkének (3) bekezdése határozza meg a követelményt: a felhasználó eszközén tárolt vagy onnan lekért információhoz a felhasználó hozzájárulása szükséges, kivéve, ha a tárolás feltétlenül szükséges egy, a felhasználó által kifejezetten kért szolgáltatáshoz. Ez az a szabály, amely kifejezetten a cookie-kra vonatkozik.
A GDPR 4. cikkének 11. pontja határozza meg, mit jelent a hozzájárulás: „az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”
Ez a két rendelkezés együtt működik. Az ePrivacy irányelv megmondja, mikor van szükség hozzájárulásra (a nem alapvető cookie-khoz). A GDPR megmondja, hogyan néz ki az érvényes hozzájárulás. Mindkettőnek teljesülnie kell.
Az érvényes hozzájárulás öt követelménye
A GDPR 4. cikkének 11. pontja, a 7. cikk, valamint az EDPB hozzájárulásról szóló 05/2020. számú iránymutatása alapján az érvényes cookie-hozzájárulásnak öt feltételnek kell megfelelnie:
1. Önkéntes
A felhasználónak valódi választási lehetőséggel kell rendelkeznie. A hozzájárulás nem önkéntes, ha:
- A hozzáférés a hozzájáruláshoz kötött. Ha a felhasználó nem tudja használni a weboldalt anélkül, hogy minden cookie-t elfogadna (ez a „cookie-fal”), a hozzájárulás nem önkéntes. Az EDPB megerősítette ezt az álláspontot, bár egyes nemzeti adatvédelmi hatóságok bizonyos körülmények között megengedik a korlátozott cookie-falakat — különösen akkor, ha létezik valódi alternatíva (például egy fizetős, cookie-mentes verzió).
- Jelentős erőviszonybeli egyenlőtlenség áll fenn. Munkáltató–munkavállaló vagy kormányzat–állampolgár viszonyban a hozzájárulás nem feltétlenül önkéntes. A legtöbb weboldal esetében ez kevésbé releváns, de számít a kormányzati szolgáltatásoknál és a belső hálózati platformoknál.
- A visszautasítás jelentősen nehezebb, mint az elfogadás. Ha az „Összes elfogadása” egy jól látható gomb, az „Összes elutasítása” viszont a beállítások közötti navigálást igényel, a hozzájárulás nem önkéntes. Az olasz Garante és a francia CNIL egyaránt kiadott olyan konkrét iránymutatást, amely megköveteli, hogy a cookie-k elutasítása ugyanolyan egyszerű legyen, mint az elfogadásuk.
2. Konkrét
A hozzájárulást minden egyes külön célra önállóan kell megadni. Ezért léteznek a cookie-kategóriák. Egy érvényes hozzájárulási mechanizmusnak lehetővé kell tennie, hogy a felhasználók elfogadják az analitikai cookie-kat, miközben elutasítják a marketingcookie-kat, vagy fordítva. Az összes cookie egyetlen „elfogadás” vagy „elutasítás” gombba történő összecsomagolása nem felel meg a konkrétság követelményének — bár elfogadható, ha a kategóriánkénti vezérlők mellett gyorsgombként felkínálják az „Összes elfogadása” és „Összes elutasítása” lehetőségeket is.
3. Megfelelő tájékoztatáson alapuló
A hozzájárulás megadása előtt a felhasználót tájékoztatni kell arról, hogy:
- Ki állítja be a cookie-kat (a weboldal üzemeltetője és minden harmadik fél)
- Mit csinál az egyes cookie-kategóriák
- Meddig maradnak érvényben a cookie-k
- Hogyan lehet visszavonni a hozzájárulást
Ezt az információt világosan és közérthető nyelven kell közölni. Egy 5000 szavas, három kattintás mögé rejtett cookie-szabályzat semmilyen értelmes módon nem teszi „megfelelő tájékoztatáson alapulóvá” a hozzájárulást. A hozzájárulási mechanizmus első rétegének elegendő információt kell tartalmaznia ahhoz, hogy a felhasználó megalapozott döntést hozhasson.
4. Egyértelmű
A hozzájárulás egyértelmű, megerősítést kifejező cselekedetet igényel. A felhasználónak aktívan tennie kell valamit a hozzájárulás jelzésére — kattintania egy gombra, bejelölnie egy jelölőnégyzetet, átkapcsolnia egy kapcsolót.
Ami NEM minősül egyértelmű hozzájárulásnak:
- Előre bejelölt jelölőnégyzetek. Az Európai Unió Bírósága a Planet49 ügyben (C-673/17. sz. ügy, 2019. október) egyértelműen kimondta, hogy az előre bejelölt négyzetek nem minősülnek érvényes hozzájárulásnak. Ez vonatkozik azokra a cookie-hozzájárulási beállításokra is, ahol a kategóriák alapértelmezés szerint be vannak jelölve.
- A böngészés folytatása. Az „Ha tovább használja ezt az oldalt, hozzájárul a cookie-khoz” nem érvényes hozzájárulás. A puszta görgetés vagy egy hivatkozásra kattintás nem „egyértelmű kinyilvánítás”. Több adatvédelmi hatóság is megerősítette ezt, és az EDPB iránymutatásai kifejezetten kitérnek erre.
- Böngészőbeállítások. A felhasználó böngészőbeállításaira mint a hozzájárulás egy formájára való hivatkozást a szabályozó hatóságok elutasították. A weboldal üzemeltetőjének közvetlenül kell beszereznie a hozzájárulást.
- Hallgatás vagy tétlenség. Ha a felhasználó figyelmen kívül hagyja a sávot és tovább böngészik, az nem hozzájárulás. Semmilyen cookie nem helyezhető el, amíg a felhasználó nem hozott aktív döntést.
5. Előzetes
Bár a GDPR 4. cikkének 11. pontja nem sorolja fel külön elemként, az ePrivacy irányelv egyértelművé teszi, hogy a hozzájárulást a cookie-k elhelyezése előtt kell beszerezni. Ez az a követelmény, amelynek sok weboldal még mindig nem tesz eleget. Az oldal betöltésekor lefutó szkriptek — amelyek analitikai és marketingcookie-kat állítanak be, mielőtt a felhasználó egyáltalán meglátta volna a hozzájárulási sávot — megsértik ezt az alapvető követelményt.
Technikailag ez azt jelenti, hogy a nem alapvető szkripteket blokkolni kell, amíg a hozzájárulást meg nem adják. Ha csupán megjelenítünk egy sávot, miközben a cookie-kat már beállítottuk, az nem elégíti ki az előzetes hozzájárulás követelményét.
Hogyan néz ki az érvényes hozzájárulás a gyakorlatban
Egy szabályoknak megfelelő cookie-hozzájárulási megvalósítás:
- Minden nem alapvető cookie-t blokkol azelőtt, hogy a felhasználó interakcióba lépne a hozzájárulási mechanizmussal.
- Világos első réteget jelenít meg, amely elmagyarázza a használt cookie-kategóriákat, és lehetőséget kínál mindegyik kategória elfogadására vagy elutasítására.
- Az „Összes elfogadása” és az „Összes elutasítása” lehetőséget ugyanolyan hangsúllyal kínálja fel — azonos méretben, azonos vizuális súllyal, azonos számú kattintással.
- Nem alkalmaz megtévesztő mintázatokat — nincsenek félrevezető gombszínek, elrejtett elutasítási lehetőségek, összezavaró megfogalmazások vagy az elfogadás felé terelgetés.
- Egy részletes cookie-szabályzatra hivatkozik, amely név, cél, időtartam és szolgáltató szerint felsorolja az összes cookie-t.
- Rögzíti a hozzájárulást időbélyeggel, valamint azzal, hogy a felhasználó mely konkrét kategóriákat fogadta el vagy utasította el.
- Csak azokat a releváns szkripteket futtatja, amelyekre az adott kategóriához hozzájárulást adtak.
A hozzájárulás életciklusa
A hozzájárulás nem egyszeri esemény. Van egy életciklusa, amelyet a megvalósításnak támogatnia kell:
Gyűjtés
Első látogatás: jelenjen meg a hozzájárulási mechanizmus, blokkolja a nem alapvető cookie-kat, és várja meg a felhasználó cselekvését.
Tárolás
Amikor a hozzájárulást megadták, tárolja a felhasználó döntését egy feltétlenül szükséges cookie-ban (ehhez a cookie-hoz nincs szükség hozzájárulásra, mivel a felhasználó adatvédelmi preferenciáinak tiszteletben tartásához szükséges). Emellett tároljon egy szerveroldali rekordot is a hozzájárulás bizonyítékaként.
Alkalmazás
A további oldalbetöltéseknél olvassa be a hozzájárulási cookie-t, és csak azokat a szkripteket futtassa, amelyek a felhasználó által elfogadott kategóriáknak felelnek meg. Ne jelenítse meg újra a sávot — tartsa tiszteletben a tárolt döntést.
Visszavonás
A GDPR 7. cikkének (3) bekezdése egyértelmű: „A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.” A weboldalnak állandó, könnyen hozzáférhető módot kell biztosítania arra, hogy a felhasználók bármikor módosíthassák cookie-preferenciáikat. Gyakori megoldás egy kis ikon vagy hivatkozás a láblécben, amely újra megnyitja a hozzájárulás-kezelő felületet.
Megújítás
A hozzájárulás nem tart örökké. A CNIL azt javasolja, hogy a hozzájárulást 13 havonta újítsák meg. Az EDPB nem határozott meg konkrét időtartamot, de megköveteli, hogy a hozzájárulás érvényes maradjon, és hogy a felhasználó döntése továbbra is tükrözze tényleges szándékát. Bevált gyakorlat, hogy legalább évente egyszer, illetve valahányszor a cookie-használat jelentősen megváltozik, újra bekérjük a hozzájárulást.
Változások
Ha új cookie-kat, új harmadik féltől származó szolgáltatásokat vagy új célokat vezet be, előfordulhat, hogy a meglévő hozzájárulás ezekre már nem terjed ki. A felhasználókat újra meg kell kérni, hogy adják meg (vagy tagadják meg) a hozzájárulást az új adatkezeléshez.
Hozzájárulási rekordok és bizonyíték
A GDPR 7. cikkének (1) bekezdése kimondja: „Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.” A cookie-hozzájárulás esetében ez azt jelenti, hogy nyilvántartást kell vezetnie arról, hogy:
- Mikor adták meg a hozzájárulást (időbélyeg)
- Mihez járult hozzá a felhasználó (mely kategóriákat fogadta el, melyeket utasította el)
- Hogyan gyűjtötték be a hozzájárulást (hogyan nézett ki a hozzájárulási mechanizmus az adott időpontban — egy verzióazonosító vagy képernyőkép)
- Ki adta meg a hozzájárulást (általában egy anonimizált azonosító, nem a felhasználó neve)
Ha egy szabályozó hatóság arra kéri, hogy bizonyítsa: egy adott cookie-t érvényes hozzájárulással helyeztek el, ezek a rekordok a védekezése. Nélkülük semmilyen bizonyítéka nincs arra, hogy a hozzájárulási mechanizmusa működik — a bizonyítási teher pedig Önt terheli, nem a szabályozó hatóságot.
Gyakori hozzájárulási hibák
Az Európa-szerte lefolytatott végrehajtási eljárások alapján ezek a leggyakrabban büntetett hozzájárulási hibák:
- Hozzájárulás előtt elhelyezett cookie-k. Analitikai és marketingszkriptek, amelyek az oldal betöltésekor futnak le, még mielőtt a felhasználó interakcióba lépne a sávval.
- Nincs elutasítási lehetőség az első rétegen. Arra kényszerítik a felhasználókat, hogy a cookie-k elutasításához a „Beállítások” vagy a „Preferenciák kezelése” gombra kattintsanak, miközben az „Összes elfogadása” azonnal elérhető.
- Előre bejelölt kategóriák. Olyan hozzájárulási kapcsolók, amelyek az analitika és a marketing esetében alapértelmezés szerint „be” állásban vannak.
- A hozzájárulás visszavonásának lehetetlensége. Miután a sávot elutasították, a felhasználónak nincs módja megváltoztatni a döntését.
- Hozzájárulási fal / cookie-fal. A tartalomhoz való hozzáférés blokkolása, hacsak nem fogadják el az összes cookie-t.
- Megtévesztő kialakítás. Zöld szín használata az „Elfogadáshoz” és szürke az „Elutasításhoz”, az elfogadás gomb nagyobbra méretezése, vagy összezavaró megfogalmazások, mint például „Folytatás elfogadás nélkül” szemben az „Elfogadás és folytatás” lehetőséggel.
A Passiro átvizsgálja a weboldala cookie-hozzájárulási megvalósítását, és ellenőrzi ezeket a gyakori hibákat, segítve, hogy azonosítsa és orvosolja a megfelelőségi hiányosságokat, mielőtt egy szabályozó hatóság tenné meg.
Következő: mikor is szükséges pontosan a hozzájárulás? A válasz néhány fontos árnyalatot tartalmaz, köztük a feltétlenül szükséges kivételt és a saját tulajdonú (first-party) analitika körüli folyamatos vitát.
Ebben a szekcióban
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen